使用ELK实时分析SSH暴力破解
在上一篇《通过rsyslog搭建集中日志服务器》,我们分享了如何通过rsyslog搭建集中日志服务器,收集系统日志,在本篇,我们会利用这些系统日志进行安全分析。
这是ELK入门到实践系列的第二篇文章,分享如何使用ELK实时分析SSH暴力破解。从一张图看出SSH登录时间、登录状态、用户名字典,尝试次数、来源IP等,可洞悉SSH暴力破解,迅速定位攻击者。
安全日志分析
linux系统的安全日志为/var/log/secure,记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录。
登录成功:
Nov 7 00:57:50 localhost sshd[22514]: Accepted password for root from 192.168.28.1 port 18415 ssh2
Nov 7 00:57:50 localhost sshd[22514]: pam_unix(sshd:session): session opened for user root by (uid=0登录失败:
Nov 7 00:59:12 localhost sshd[22602]: Failed password for root from 192.168.28.1 port 18443 ssh2
Nov 7 00:59:14 localhost sshd[22602]: error: Received disconnect from 192.168.28.1 port 18443:0: [preauth]通过以上信息,我们只需要一条信息就可以判断登录成功或失败。
# SSH登录成功
Nov 7 00:57:50 localhost sshd[22514]: Accepted password for root from 192.168.28.1 port 18415 ssh2
# SSH登录失败
Nov 7 00:59:12 localhost sshd[22602]: Failed password for root from 192.168.28.1 port 18443 ssh2Grok正则捕获
基于上述,我们来构造Grok正则捕获关键信息字段。
在线grok调试地址:http://grokdebug.herokuapp.com/
Logstash安装配置
1、下载安装(环境要求:JDK8)
wget https://artifacts.elastic.co/downloads/logstash/logstash-7.3.2.tar.gz
tar -zxvf logstash-7.3.2.tar.gz
cp -r logstash-7.3.2 /usr/local/logstash2、测试
/usr/local/logstash/bin/logstash -e 'input { stdin{}} output{ stdout{}}'3、Logstash配置
input {
file {
path => "/var/log/secure"
}
}
filter {
grok {
match => { "message" => ".*sshd\[\d+\]: %{WORD:status} .* %{USER:username} from.*%{IP:clientip}.*"
}
}
}
output { if ([status] == "Accepted" or [status] == "Failed") {
elasticsearch {
hosts => ["http://192.168.28.151:9200"]
index => "secure-%{+YYYY.MM.dd}"
#user => "elastic"
#password => "changeme"
}
stdout {
codec => rubydebug
}
}
}Elasticsearch部署
1、安装
yum -y install elasticsearch2、配置
cd /etc/elasticsearch/vi elasticsearch.yml network.host: 0.0.0.0 http.port: 92003、启动ES
/bin/systemctl daemon-reloadsystemctl start elasticsearchKibana数据展示
安装部署
# 安装yum -y install kibana# 配置cd /etc/kibana
cp kibana.yml kibana.yml.bak
vi kibana.yml
server.port: 5601
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://192.168.28.151:9200"]# 启动systemctl daemon-reload
systemctl restart kibana绘制数据表
可以直观的看到攻击者所使用的用户名字典,登录成功或者失败的次数。
绘制折线图
Y轴为登录失败次数,X轴为登录时间,对SSH登录状态和IP地址做了一个直观的统计。
制作仪表盘
将前面绘制的数据表和折线图导入到一个仪表盘,就可以通过一张图进行安全日志分析,实时洞悉SSH暴力破解。
结语
本文中,通过对secure日志的分析,构建Grok正则捕获关键字段信息,然后将日志数据导入ELK进行实时分析。基于ELK实现日志收集分析,有着更多的应用场景,慢慢去摸索,继续分享一些最佳实践。
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-11-12,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
相关产品与服务
日志服务
日志服务(Cloud Log Service,CLS)是腾讯云提供的一站式日志服务平台,提供了从日志采集、日志存储到日志检索,图表分析、监控告警、日志投递等多项服务,协助用户通过日志来解决业务运维、服务监控、日志审计等场景问题。
腾讯云开发者
